網(wǎng)管員如何通過Trace命令來進行網(wǎng)絡(luò)故障排查

希望這篇文章能夠給網(wǎng)絡(luò)管理員提供一個解決問題的思路。Trace命令主要用來跟蹤數(shù)據(jù)包的傳輸過程，可以向網(wǎng)絡(luò)管理員提供路由器到目的地地址的每一跳信息。主要是通過控制IP報文的生存期字段來實現(xiàn)這個目的。

　　一、Trace命令的原理

　　Trace命令提供路由器到目的地址的每一跳的信息。他通過控制IP報文的生存期(英文簡稱為TTL)字段來實現(xiàn)。為了獲得往返延遲的時間信息，Trace命令會發(fā)送三個報文顯示平均延遲時間。然后命令會將報文的TTL字段加1并在此發(fā)送這三個報文。這些報文將達到路徑的第二個路由器上，并返回超時錯誤或者端口不可達的信息。反復(fù)使用這個方法，不斷增加報文的TTL字段的值，直到接收到目的地址的響應(yīng)消息。

　　上面這么說可能有點繞口令。筆者這里舉一個簡單的例子來說明。如果現(xiàn)在有用戶反映他們不能夠訪問公司的網(wǎng)站，但是可以訪問其他網(wǎng)頁。此時網(wǎng)絡(luò)管理員該如何處理呢?網(wǎng)絡(luò)管理員懷疑是連接那個網(wǎng)站的路由器出現(xiàn)了問題。此時就可以利用 Trace + 被懷疑有故障的路由器IP地址的方式，來跟蹤數(shù)據(jù)包到這個路由器的整個過程。這個Trace命令會列舉出從管理員路由器到那個被懷疑出現(xiàn)故障路由器之間所有的路由器連接信息。如此的話，網(wǎng)絡(luò)管理員就可以發(fā)現(xiàn)是中間那個路由器出現(xiàn)了問題。這將幫助管理員迅速定位出問題的路由器。如果最后網(wǎng)絡(luò)管理員受到了來自那個被懷疑路由器的反應(yīng)信息，則表明跟那個路由器之間的連接時沒有問題的。這就表明問題可能不出在路由器身上，而有可能是那個WEB服務(wù)器在搞怪。

　　二、如何讀懂Trace命令返回的消息

　　要利用Trace命令來排查網(wǎng)絡(luò)故障，則讀懂Trace返回報文的含義這是最基礎(chǔ)的。還好Trace命令返回的報文并不復(fù)雜，比較容易看懂。

　　MSEC表示路由器在接收到響應(yīng)消息之前的往返網(wǎng)絡(luò)延遲，這是以毫秒為單位。在網(wǎng)絡(luò)中從發(fā)送方和接受方之間交換數(shù)據(jù)，接受方收到數(shù)據(jù)和發(fā)送方發(fā)送數(shù)據(jù)之間的時間差就是網(wǎng)絡(luò)延遲。也就是說，從路由器發(fā)送消息到下一個路由器接收到消息并做出響應(yīng)中間會有一個時間的間隔。這個間隔就是網(wǎng)絡(luò)延遲。造成網(wǎng)絡(luò)延遲的原因有很多,比如在物理線路上電磁波傳播要時間,在網(wǎng)絡(luò)中間設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)包也要時間,受網(wǎng)絡(luò)帶寬限制,發(fā)送數(shù)據(jù)也要時間,還有其他的排隊時延等。從理論上來說，這個時間間隔為零為好，但是實際上做不到。在采用Trace命令時，只有第一跳的MSEC時間可能為0，達到自己路由器接口的時間。為此在網(wǎng)絡(luò)性能優(yōu)化時，不能夠消除這個網(wǎng)絡(luò)延遲，而只能夠把這個延遲盡量的縮短。若最終能夠出現(xiàn)這個信息，至少說明跟對方的連接是通的。此時網(wǎng)絡(luò)管理員要考慮的是，這個延遲的時間是否在可以容忍的范圍之內(nèi)。如果網(wǎng)絡(luò)雖然通了，但是延遲時間比較長則管理員仍然需要進行網(wǎng)絡(luò)調(diào)整。要把這個網(wǎng)絡(luò)延遲的時間控制在可以忍受的范圍之內(nèi)。

　　如果執(zhí)行了這個命令之后，路由器最后沒有返回MSEC信息，而是顯示了其他的內(nèi)容，則表示這個連路不通，可能存在網(wǎng)絡(luò)故障。此時，網(wǎng)絡(luò)管理員就需要根據(jù)其返回的錯誤信息來排查網(wǎng)絡(luò)故障。通常情況下，其可能會返回這些錯誤信息。一是*號，它表示報文超時。二是?號，表示報文類型不能識別。三是U符號，表示端口不可達。四是P字母，表示謝意不可達。五是N字母，表示網(wǎng)絡(luò)不可達。六是H字母，表示主機不可達。七是Q字母，表示ICMP源抑制。這里筆者要特別強調(diào)一下ICMP源抑制的作用。由于TCP是可靠的面向連接的協(xié)議，在建立連接的時候會協(xié)商窗口大小，當(dāng)網(wǎng)絡(luò)擁塞或主機資源缺乏的時候，則會相互通知以減慢數(shù)據(jù)發(fā)送速度;而UDP協(xié)議則沒有這樣的傳輸機制，當(dāng)網(wǎng)絡(luò)擁塞或資源不足的時候，無法通知對方，所以，這時，則會發(fā)送ICMP源抑制的報文給發(fā)送端，以減慢發(fā)送速度。如有時候再網(wǎng)絡(luò)維護時管理員會發(fā)現(xiàn)千兆網(wǎng)的數(shù)據(jù)傳輸速度反而比百兆網(wǎng)的速度的慢好幾倍。則很有可能使某個關(guān)鍵路由器處理不過來。此時網(wǎng)絡(luò)管理員就需要利用一定的工具查看網(wǎng)絡(luò)中是否存在ICMP源抑制信息。如果存在的話，則這個千兆網(wǎng)速度沒有百兆網(wǎng)快很可能是因為某個路由器成為了網(wǎng)絡(luò)中的瓶頸資源。管理員需要升級這個路由器，以改善其處理性能。

　　另外，如果在思科路由器的特權(quán)模式下，還可以對這個命令進行擴展，以實現(xiàn)更多的功能。如在特權(quán)模式下，Port number是一個很有用的擴展屬性。網(wǎng)絡(luò)管理員通過這個命令可以使工程技術(shù)人員跟蹤特定的傳輸層端口。因此通過這個命令網(wǎng)絡(luò)管理員不但可以確認源端與目的地址之間的IP連通性;而且還可以確認高層服務(wù)的連通性問題(即可以通過此來判斷目的設(shè)備是否開啟了相關(guān)的高層服務(wù))。

　　三、Tracle實例解析

　　1. 利用Trace命令判斷路由器是否存在訪問控制列表。

　　如現(xiàn)在網(wǎng)絡(luò)管理員發(fā)現(xiàn)可以Ping遠程路由器設(shè)備，但是卻無法Telnet到遠程路由器進行遠程維護。因為網(wǎng)絡(luò)管理員在某個設(shè)備中可以通過Telnet連接到這個遠程路由器?，F(xiàn)在更換了一個設(shè)備卻不行了，那么網(wǎng)絡(luò)管理員就懷疑是路由器設(shè)置了擴展訪問控制列表的原因。網(wǎng)絡(luò)管理員該如何驗證自己的判斷呢?

　　其實很簡單哪。網(wǎng)絡(luò)管理員可以利用Trace命令在源地址上檢查目的設(shè)備主機上的Telnet端口是否可以訪問(采用思科路由器特權(quán)模式下的Port number屬性)。如果只有管理員以前使用的設(shè)備可以Telnet端口，而其他地址都被拒絕訪問的話，就就可以百分之百的證明這臺路由器設(shè)備存在擴展訪問控制列表。此時網(wǎng)絡(luò)管理員若有遠程路由器管理權(quán)限的話，就需要先用自己的設(shè)備修改擴展訪問控制列表中的限制。把其他涉別的MAC地址或者IP地址加入進去，允許其進行Telnet訪問。然后再通過其他設(shè)備進行Telnet訪問。

　　2. *號并不一定表示網(wǎng)絡(luò)不通。

　　當(dāng)網(wǎng)絡(luò)管理員利用Trace測試路由器的連通性時，如果路由器返回*符號，并不一定代表網(wǎng)絡(luò)不通。因為Trace命令是采用網(wǎng)間控制信息協(xié)議(簡稱ICMP)協(xié)議的。網(wǎng)間控制ICMP是用于路由器之間傳遞控制信息和報錯的協(xié)議。ICMP使用IP數(shù)據(jù)包，但是這些數(shù)據(jù)是由IP軟件處理，而不會直接傳送給用戶。在網(wǎng)絡(luò)體系結(jié)構(gòu)的各層次中，都需要控制，而不同的層次有不同的分工和控制內(nèi)容，IP層的控制功能是最復(fù)雜的，主要負責(zé)差錯控制、擁塞控制等，任何控制都是建立在信息的基礎(chǔ)之上的，在基于IP數(shù)據(jù)報的網(wǎng)絡(luò)體系中，網(wǎng)關(guān)必須自己處理數(shù)據(jù)報的傳輸工作，而IP協(xié)議自身沒有內(nèi)在機制來獲取差錯信息并處理。為了處理這些錯誤，TCP/IP設(shè)計了ICMP協(xié)議，當(dāng)某個網(wǎng)關(guān)發(fā)現(xiàn)傳輸錯誤時，立即向信源主機發(fā)送ICMP報文，報告出錯信息，讓信源主機采取相應(yīng)處理措施，它是一種差錯和控制報文協(xié)議，不僅用于傳輸差錯報文，還傳輸控制報文。

　　但是ICMP協(xié)議有著先天行的缺陷，如很容易遭受對方的洪水攻擊。洪水攻擊簡單的說就是攻擊者通過某種手段同時讓多臺網(wǎng)絡(luò)設(shè)備向目標(biāo)設(shè)備發(fā)送ICMP包從而讓目的設(shè)備忙不過來而拒絕接受新的數(shù)據(jù)包。為此為了提高網(wǎng)絡(luò)設(shè)備的安全性，不少網(wǎng)絡(luò)管理員會關(guān)閉掉ICMP響應(yīng)。此時，當(dāng)網(wǎng)絡(luò)管理員Trace遠程網(wǎng)絡(luò)設(shè)備時就會出現(xiàn)*符號，表示報文超時。

　　另外網(wǎng)絡(luò)管理員在使用這個Trace命令時需要注意一個問題。如果源地址到目的地址之間存在多條路徑，則這個命令返回報文的源地址可能不大相同。如果遇到這種情況，則網(wǎng)絡(luò)管理員就需要仔細比較不同返回報文顯示的延遲時間。通常情況下延遲時間比較少的會優(yōu)先路徑。管理員主要考察延遲時間短的幾個路徑即可。除非管理員需要考察特殊路徑，那么最好能夠知道特定路由器的IP地址。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū) 

◆網(wǎng)管員需要注意一些網(wǎng)絡(luò)安全管理策略

◆網(wǎng)管員基礎(chǔ)知識：如何設(shè)置員工上網(wǎng)權(quán)限

◆網(wǎng)管員經(jīng)驗 AOFAX傳真服務(wù)器的初始安裝技巧

◆IT運維管理專區(qū)